보안 강화 정보

이 주제에서는 Microsoft Active Directory용 관리형 서비스를 강화하고 보안 취약점을 최소화하기 위해 수행하는 다양한 조치에 대해 설명합니다.

공개 인터넷 액세스 권한 없음

보안을 강화하기 위해 관리형 Microsoft AD는 공개 인터넷에 노출되지 않습니다. 관리형 Microsoft AD는 모든 연결을 승인된 네트워크에서 비공개 IP를 통해 수행합니다.

  • 호스팅: 관리형 Microsoft AD는 Active Directory를 실행하는 모든 VM을 자체 VPC에 호스팅하여 사용자를 서로 격리합니다.

  • 연결: 승인된 네트워크를 사용하여 비공개 IP를 통해 관리형 Microsoft AD에 연결할 수 있습니다. 관리형 Microsoft AD는 이러한 연결에 대한 VPC 피어링을 처리합니다.

  • 패치: 관리형 Microsoft AD는 공개 인터넷 액세스를 사용하지 않고 관리형 Microsoft AD VM에 Windows 패치를 적용합니다. 관리형 Microsoft AD에서 패치를 처리하는 방법에 관한 자세한 내용은 패치를 참고하세요.

보안 VM

보안 VM은 루트키트 및 부트키트를 방어하는 데 도움이 되는 일련의 보안 제어로 강화된 가상 머신(VM)입니다. 보안 VM의 기능은 추가 비용 없이 모든 관리형 Microsoft AD VM을 보호합니다.

OS 이미지

관리형 Microsoft AD VM은 공개 Compute Engine Windows Server 2019 이미지에서 시드됩니다. 이러한 이미지에는 보안 VM 기능이 사용 설정되어 있으며 Compute Engine 인프라에서 실행되도록 최적화되어 있습니다.

Microsoft 보안 기준

관리형 Microsoft AD에서 제공하는 보안 조치 외에도 관리형 Microsoft AD VM에 Microsoft 보안 기준을 적용하도록 선택할 수도 있습니다. 이러한 기준은 관리형 Microsoft AD가 관리형 Microsoft AD 인스턴스 및 도메인 컨트롤러에 적용할 수 있는 업계 표준 보안 구성 설정입니다.

프로덕션 인스턴스에 적용하기 전에 이러한 기준을 검토하고 개발 또는 스테이징 관리형 Microsoft AD 인스턴스에서 테스트하는 것이 좋습니다. 지원팀에 문의하여 이러한 기준에 대해 자세히 알아보거나 이러한 설정을 적용하도록 선택할 수 있습니다.

보안 모니터링 및 보호

Google은 운영체제의 내장 바이러스 백신을 사용하여 관리형 Microsoft AD 인스턴스를 바이러스 및 멀웨어로부터 보호합니다. 바이러스 백신은 관리 Microsoft AD VM을 검사하고 바이러스, 멀웨어, 스파이웨어와 같은 보안 위협을 감지합니다. 그런 후 바이러스 백신이 이 보안 이벤트를 로깅하며 필요한 경우 Google에서 이를 분석하여 해결합니다.

패치

Microsoft는 정기적으로 버그 수정, 보안 업데이트, 기능 개선사항을 출시합니다. 이러한 패치는 도메인 컨트롤러를 최신 상태로 안전하게 유지하는 데 중요합니다.

관리형 Microsoft AD는 이러한 모든 패치를 도메인 컨트롤러에 적용하기 전에 테스트합니다. 테스트 중에 관리형 Microsoft AD는 고객 사용 사례, 가용성, 보안, 안정성을 검증합니다. 패치가 이러한 테스트를 통과하면 관리형 Microsoft AD에서 도메인 컨트롤러에 패치를 적용합니다.

패치 중 사용 가능 여부

패치 및 업데이트를 적용하는 동안 Active Directory 도메인을 계속 사용할 수 있습니다. 그러나 이러한 도메인에서는 스키마 확장, 도메인 업데이트, SQL Server 또는 Cloud SQL 연결과 같은 변형 작업을 실행할 수 없습니다. 또한 관리형 Microsoft AD는 이미 수정 작업을 시작한 도메인에 작업이 완료될 때까지 패치를 적용하지 않습니다.

관리형 Microsoft AD는 서로 다른 가용성 영역에 있는 도메인에 대해 리전당 최소 2개의 도메인 컨트롤러가 실행되도록 합니다. 관리형 Microsoft AD는 한 번에 하나의 도메인 컨트롤러를 업데이트합니다. 도메인 컨트롤러 업데이트마다 관리형 Microsoft AD는 검증된 최신 패치가 포함된 새 도메인 컨트롤러를 추가하고 승격합니다. 새 도메인 컨트롤러가 정상 상태에 도달하면 관리형 Microsoft AD는 기존 도메인 컨트롤러를 강등합니다. 관리형 Microsoft AD에서 새 도메인 컨트롤러를 승격하면 새 도메인 컨트롤러가 사용됩니다. 관리형 Microsoft AD에서 이전 도메인 컨트롤러의 계급을 낮추면 이전 도메인 컨트롤러는 요청 처리를 중지합니다. 이 프로세스를 통해 언제든지 각 리전에 두 개 이상의 도메인 컨트롤러가 실행됩니다.

애플리케이션이 활성 도메인 컨트롤러에 도달할 수 있도록 하려면 애플리케이션에서 Windows DC 로케이터 서비스를 사용할 수 있습니다. 이렇게 하면 애플리케이션이 자동 패치 프로세스 중에 새 도메인 컨트롤러와 다시 연결할 수 있습니다.

패치 일정

Google은 Microsoft에서 Windows Server용 월간 패치를 출시한 후 영업일 기준 21일 이내에 모든 관리형 Microsoft AD 도메인 컨트롤러에서 패치를 테스트하고 적용하는 것을 목표로 하고 있습니다. 하지만 Microsoft에서 도메인 컨트롤러용으로 출시하는 중요 보안 취약점 패치는 우선순위를 두고 영업일 기준 15일 이내에 적용합니다.

사용자 인증 정보 순환 및 암호화

관리형 Microsoft AD는 여러 가지 방법으로 사용자 인증 정보를 보호합니다. 관리형 Microsoft AD는 사용자 인증 정보를 자주 순환하고 업계 표준 기술을 사용하여 암호화합니다. AD 관리를 위해 만든 사용자 인증 정보는 인스턴스 간에 공유되지 않습니다. 소규모 지원팀과 자동화된 시스템만 이러한 사용자 인증 정보에 액세스할 수 있습니다. 관리형 Microsoft AD는 인스턴스를 삭제할 때 이러한 사용자 인증 정보를 삭제합니다.

제한된 프로덕션 액세스

관리형 Microsoft AD는 Google Cloud 엔지니어가 관리형 Microsoft AD 도메인에 대한 최소한의 액세스 권한을 갖도록 여러 시스템과 프로세스를 사용합니다. 소수의 긴급 대기 엔지니어만 프로덕션 데이터에 액세스할 수 있습니다. 이들은 도메인 복구 또는 고급 문제 해결을 위해서만 프로덕션 환경에 액세스합니다. 이러한 액세스는 검증된 근거가 있어야 진행할 수 있으며, 그 후에는 관리형 Microsoft AD가 내부적으로 이를 로깅하고 감사합니다. 관리형 Microsoft AD는 대부분의 액세스를 자동화하여 AD 데이터에 액세스할 수 없도록 합니다. 드물지만 긴급 대기 엔지니어가 원격으로 도메인 컨트롤러에 액세스해야 할 수도 있습니다. 이 경우 원격 액세스는 공개 인터넷이 아닌 IAP(Identity-Aware Proxy)를 사용합니다.